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Die folgenden Angaben si nd den vom Anmelder eingereichten Untertagen entnommen 

Prufungsantrag gem. § 44 PatG ist gestellt 

(S) System fur ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontroile beim Suchen und Abrufen 
von Daten 

(§7) Wenn ein elektronisches Dokument zur Revision durch 
andere Stellen verfugbar gemacht wird, ist es oft vorteil- 
haft, das Dokument in einem von einer dritten Partei ver- 
walteten Archiv oder einer von einer dritten Partei verwal- 
teten Datenbank zu speichern. Es wird ein System zur Ver- 
fugung gestellt, in dem die Stellen, die vOm Urheber ei- 
nes Dokuments die Berechtigung zum Zugriff auf dieses 
Dokument im Datenarchiv erhalten haben, sicher nach 
dem im Archiv einer dritten Partei aufbewahrten Doku- 
ment suchen konnen, ohne dass sie darauf vertrauen 
mussen, dass der Verwarter des Archiv sichere Informati- 
on uber ihre Zugriffsrechte liefert. Der Dokumenturheber, 
der Archiwerwalter und alle Stellen, die Zugriffsrechte 
auf Daten im Archiv besitzen, haben Tresorumgebungen, 
■ die sichere Erweiterungen ihrer betreffenden Arbeitsbe- 
0 reiche sind. Der Tresor des Dokumenturhebers verwaltet 
fur jedes im Archiv deponierte Dokument eine Zugriffs- 
kontroll-Liste (ACL). Der Tresor jeder Stelle, die Zugriffs- 
rechte auf Dokumente im Archiv besitzt, verwaltet eine 
Fahigkeitslisle der Zugriffsrechte der betreffenden Stelle 
auf alle im Archiv gespeicherten Dokumente. Die Stelle 
selber bewahrt auf ihrem eigenen Arbeitsplatz einen Be 
weis der neuesten Version ihrer Fahigkeitslisle auf. Wenn 
die ACL fur ein Dokument im Tresor des Dokumenturhe- 
bers aktualisiert wird, stelrt der Tresor des Urhebers fest, 
welche Stellen von der Anderung betroffen sind, und 
ubertragt die Anderungen an die Tresore der betroffenen 
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Beschreibung 

Gegenstand der Erfindung 

Die vorliegende Erfindung belriffl das Gebiel der elektro- 
nischen Datenspeicherung und liefert speziell ein sicheres 
Datenarchiv- und -austauschsystem, das von einer dritten 
Partei, die die Funktion eines Verwalters ausiibl, verwaltel 
wird, und in dem eine Zugriffskontrolle beim Suchen und 
Abrufen von Daten erzwungen wird. 

Hintergrund der Erfindung 

Neuere parallele Fortschritte in der Netzwerkkommuni- 
kalion und der PKJ-Technologie (public key infrastructure - 
Infrastruklur offentlicher Schlussel) haben bewirkl, dass 
Unternehmen und Institutionen beginneri, elektronische Do- 
kumentalion zur Aufzeichnung und fur Transaktionen jegli- 
cher Art einzusetzen. Mil Verbesserungen bei der Integrilat 
und Sicherheil der Ubertragung kann zuversichilich davon 
ausgegangen werden, dass Dokumente, die elektronisch 
uber das Internet und andere offene Netzwerke gesendet 
werden, intakt und unverfalscht ankommen. Dalenbankver- 
waltungssysteme, die mit modernen Computerspeichern mil 
einer Kapazitat von mehreren Gigabyte gekoppelt sind, ha- 
ben es Unternehmen und Institutionen ermoglicht, auf die 
Aufbewahrung von Dokumenten in Papierform zu verzich- 
ten, deren Masse Immobilienkosten verursacht. 

Typischerweise mussen Daten, die von einer S telle slam- 
men, aus verschiedenen Grunden an eine andere ubertragen 
werden, z. B. zur Aufbewahrung, zur Priifung usw. Die Da- 
tenelemente konnten in Form unstrukturierter Dokumenlda- 
teien oder strukturierter Datensatze vorliegen wie z. B. 
Konlo- und andere Finanzinformationen. Ln Beispiel un- 
strukturierter Daten kann es notwendig sein, ein Dokumem 
zum Zweck der Priifung vom Ursprungssystem an andere 
Computer im gleichen System oder an Computer auf ande- 
ren Systemen zu schicken. Dies konnte gleichermaBen in ei- 
ner Geschaflssituation (z. B. einem Vorschlag fiir ein Joint 
Venture oder einer komplexen Angebotsausschreibung) wie 
auch in einer Institution (z. B. wenn eine Dissertation von 
akademischen Beratern uberpruft wird, bevor sie einer Pru- 
fungskommission vorgelegt wird) vorkommen. Das Doku- 
ment isi elektronisch erstellt worden, da auf diese Weise 
Uberarbeitungen und Einfugungen (speziell wenn sie um- 
fangreich sind) leicht eingearbeitet werden konnen, ohne 
dass jedesmal das gesamte Dokument neu getippt werden 
muB. 

Wenn das Dokument in elektronischer Form vorliegt, 
kann es auch leichter uberpruft werden, weil es in dieser 
Form leichter zu ubertragen ist. Vorgesehene Betrachier 
konnen festsiellen, dass ein Dokument verfugbar ist, indem 
sie das System durchsuchen, nachdem ihnen der ZugrifT auf 
den Speicherort des Dokuments gewahrt worden ist. 

Es gibt mehrere Griinde, z. B. Sicherheil, Dateninlegriiat 
und System- oder Netzwerkverfugbarkeit, weshalb der Do- 
kumeniurheber ein Dokumenl nichl loka] speichern will, 
wenn dies bedeutet, dass hinter der Firewall Dritten ZugrifT 
gewahrt wird. Diese Griinde werden in unserer gleichzeitig 
eingereichten Patentanmeldung mit dem Tilel "System for 
Electronic Repository of Data Enforcing Access Control on 
Data Retrieval " (IBM Docket No. CA998-030), das gemein- 
sam ubertragen wurde und hiermil durch Bezugnahme des 
vorliegenden Dokuments ist, ausfuhrlicher beschrieben. 

Unsere gleichzeiug eingereichte Anmeldung belriffl ein 
System, in dem die Integrilal der und der ZugrifT auf die in 
einem Archiv gespeicherten Daten unabhangig von Aktio- 
nen der als Verwalier des Archivs agierenden drilten Partei 



verwaltel wird. 

Die in der genannten Anmeldung beschriebene Erfindung 
ist bei Systemen mil einer groBen Anzahl von Dokumenten, 
die fiir eine groBe Anzahl von Benutzern zuganglich sind, 

5 sehr effizienl, da die Information uber den autorisierten Zu- 
grifT auf die Dokumente an einer einzigen, zentralen Stelle 
gespeichert werden, und zwar im Archiv selber. Benutzer 
erhalten durch systemexteme Mitlel sichere Kennlnis ihres 
ZugrifTs auf Dokumente. 

10 Die vorliegende Erfindung ist eine Abwandlung, in der 
das System selber die Information uber den autorisierten 
ZugrifT enthalt, die auch sicher vor Aklionen der als Verwal- 
ler des Archivs agierenden dritten Partei ist. 

15 Kurzbeschreibung der Erfindung 

Es ist deshalb eine Aufgabe der vorliegenden Erfindung, 
ein System zur elektronischen Speicherung und zum elek- 
tronischen Austausch von Dokumenlen zur Verfugung zu 

20 stellen, in dem die Dokumente physisch in einem von einer 
dritten Partei verwalteten Archiv. gespeichert werden, in 
dem die Benutzer aber suchen konnen, um festzustellen, auf 
welche Dokumente im Archiv sie zugreifen konnen. 

Eine weitere Aufgabe der Erfindung besteht darin, ein Sy- 

25 stem zur Verfugung zu stellen, in dem die Iritegritat der im 
Archiv gespeicherten Informationen uber autorisierte Zu- 
griffe im System verfugbar, aber nichl von Aklionen der 
dritten Partei, die das Archiv verwaltel, abhangig isl. 

In einem Aspekl hai die vorliegende Erfindung also ein si- 

30 cheres System zum Suchen elektronischer Datendateien in 
einem Datenarchiv zum Ziel. Das System besteht aus einer 
Kommunikationsumgebung, in der ein erstes Agenlenpro- 
gramm fur einen Computer, der eine eleklronische Datenda- 
lei im Da ten archiv system deponiert. und ein zweites Agen- 

35 tenprogramm fur einen ersten Benutzercompuler mil Zu- 
griffsrechl auf die elektronische Datendatei vorhanden ist. 
In einer Nachweisliste fur die elektronische Datendatei sind 
ZugrifTskontrollen fur die eleklronische Datendatei aufge- 
fuhrt. Die Nachweisliste ist fiir ein erstes Agentenprogramm 

40 zuganglich und wird von diesem verwaltel. Der erste Benut- 
zercompuler besitzt eine Aufzeichnung seiner Zugriffs- 
rechte auf die elektronische Dalendalei, die fur das zweite 
Agentenprogramm zuganglich isl und von diesem verwaltel 
wird. Wenn an der Nachweisliste Anderungen vorgenom- 

45 men werden, die die ZugrifTsrechte des ersten Computers 
auf die elektronische Datendatei betreffen, werden diese 
Anderungen vom ersten Agentenprogramm an das zweite 
Agentenprogramm ubertragen, so dass die Aufzeichnung 
des ersten Benutzercompulers uber seine ZugrifTsrechte ak- 

50 tualisiert werden kann. Das erste Agentenprogramm ist auch 
in der Lage, die ZugrifTsrechte des ersten Benutzercompu- 
lers auf die elektronische Dalendalei zu prufen, bevor die 
eleklronische Datendatei fur das zweite Agentenprogramm 
freigegeben wird. 

55 In einem weiieren Aspekl bietel die Erfindung ein Verfah- 
ren fur eine sichere elektronische Datensuche in einem elek- 
tronischen Datenarchiv in einem System mil einer Nach- 
weisliste, in der ZugrifTsrechte auf die eleklronische Dalen- 
dalei im Datenarchiv aufgefuhrt sind, und einer Aufzeich- 

60 nung, in der DokumemzugrifTsrechte Tur jeden Computer 
mit ZugrifT auf die im Archiv gespeicherten elektronischen 
Dalen aufgefuhrt sind. Das Verfahren besteht aus der Aktua- 
lisierung einer Nachweislisie fiir eine im Archiv gespei- 
chene elektronische Datendatei, der Identification aller von 

65 der Aklualisierung belroffenen Computer mit geanderlem 
Zugriffsrecht auf die elektronische Datendatei. die Uberira- 
gung der Anderung des ZugrifTsrechts an aile belroffenen 
Computer, die Aklualisierung der Zugriffsrecht-Aufzeich- 
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nungen aller beiroffenen Computer und die Ubertragung der 
aktualisierten Zugriffsrecht-Aufzeichnungen an die beirof- 
fenen Computer. 

In einem weiieren Aspekl bietel die Erfindung ein siche- 
res System zum Suchen in einem Datenarchivsystem ge- 
speicherter elektronischer Dalen, das Mittel besitzt, urn ei- 
nen Nachweis zu fuhren, in dem ZugrifTskontrollen fur jede 
im Archiv gespeicherte eleklronische Datendalei aufgefuhrt 
sind, und auBerdem Mine!, um den Zugriff auf jeden Nach- 
weis auf einen Computer mil Deponierungsrecht zu be- 
schranken, Mittel, um eine Aufzeichnung zu fuhren, in der 
Zugriffsrechle auf die elektronischen Datendateien fur jeden 
Computer mit Zugriffsrechl auf mindestens eine eleklroni- 
sche Datendalei im Dalenarchiv aufgefuhrt sind, und Mittel 
zum Aklualisieren der Aufzeichnung fur jeden Computer, 
der von einer Zugriffsrechtanderung in einem Nachweis be- 
iroffen ist. 

In der Erfindung werden auch Datenlrager bereitgestellt, 
die mit Programmcode zur Realisierung des oben beschrie- 
benen Systems oder Verfahrens codiert sind. 

Kurzbeschreibung der Zeichnungen 

Im folgenden werden Ausfuhrungsbeispiele der Erfin- 
dung ausfuhrlich in Verbindung mit den beigefugten Zeich- 
nungen beschrieben. Die Zeichnungen haben folgenden In- 
halt: 

Fig. 1 isl eine Schemazeichnung von einem Dokumentar- 
chivsyslem, das von einer dritlen Parlei verwallet wird. 

Fig. 2 ist eine Schemazeichnung, ahnlich wie Fig. 1, in 
der ein Tresor- Dokumentarchivsystem dargestellt ist, das in 
der bevorzuglen Ausfuhrungsform der vorliegenden Erfin- 
dung verwendei wird. 

Fig. 3 ist ein FluBdiagramm des Dokumenlerslellungsver- 
fahrens gemaB der Erfindung. 

Fig. 4, beslehend aus Fig. 4A und Fig. 4B ist ein FluBdia- 
gramm des Dokumentabruf verfahrens gemaB der Erfindung. 

Fig. 5 A und 5B sind FluBdiagramme eines Verfahrens, 
gemaB der bevorzuglen Ausfuhrungsform der Erfindung, 
das fur die Unveranderlichkeit der Zugriffskontrolle fur Do- 
kumenlsuche und -abruf sorgt. 

Fig. 6 schlieBlich ist ein FluBdiagramm eines erfindungs- 
gemaBen Verfahrens zur Zuordnung von Eignerzugriffs- 
rechien auf gespeicherte Dokumente. 

Ausfuhrliche Beschreibung der bevorzuglen Ausfuhrungs- 
fonnen 

Eine konvenlionelle Anordnung fur ein Dokumentarchiv- 
system, bei dem eine dritte Partei als Verwalter agiert, ist in 
Fig. 1 dargestellt. Ein Dokumcnturheber 100 kann Doku- 
mente uber seine Verbindung 102 mil einem femen Doku- 
mentarchivdienst 104, z. B. einer von einer dritten Partei 
verwalteten Datenbank, deponieren. Als Eigner der depo- 
nierten Dokumente kann der Urheber 100 Zugriffsrechte auf 
die Dokumente zuweisen. Der Urheber eines Dokuments 
kann beispielsweise festlegen, dass ein Gcschaflsparlner 
106 die "Lese"-Berechugung hai, d. h. dass er das Doku- 
ment iiber seine Verbindung 108 mit dem Dokumentarchiv- 
dienst 104 abrufen, aber nicht andern darf. 

In solchen konventionellen Systemen ist das vom Urhe- 
ber 100 deponierte Dokument normalerweise nicht ver- 
schlusselt, so dass der Geschahspartner 106 das Dokument 
auf Verlangen prufen kann. Der Grund dafiir isl, dass es 
nach dem Siand der Technik Probleme mit der Dechiffrie- 
rung von Dokumenlen gibl. Fur die Dechiffrierung eines 
Dokuments ist der Zugriff auf den privaien Schlussel des 
Dokumenturhebers 100 erforderlich. Um den Zugriff auf 



seinen privaien Schlussel zu ermoglichen, muB der Doku- 
ment urheber 100 entweder selber zu alien Zeiten, zu denen 
moglicherweise eine Dechiffrierung angefordert werden 
konrite, online erreichbar sein, um die Dechiffrierung selber 

5 vorzunehmen (die Frage der Systemvertugbarkeit), oder er 
muB im voraus einen Plan entwickeln. um seinen privaten 
Schlussel dem Geschafispartner 106 direkt oder uber einen 
vertrauenswurdigen Proxy-Server (nichi dargestellt) zu- 
kommen zu lassen. 

10 In der US-Patenlschrift Nr. 5,491,750 der International 
Business Machines Corporation, nut dem Utel "Method and 
Apparatus for Three-Party Entity Authentication and Key 
Distribution Using Message Authentication Codes", wird 
ein System beschrieben, das die Verteilung privater Sil- 

15 zungsverwallungsschlussel emioglicht, die von zwei oder 
mehr Koimiiunikationspartnern gemeinsam benulzl werden 
konnen, nachdem die Kommunikalionspartner durch einen 
vertrauenswurdigen VermitUer authenlifiziert worden sind. 
Die so erzeugien Schlussel und andere ahnliche sind aber 

20 kurzlebig und ihre Verwendung sollte auf das absolut Not- 
wendige beschranki werden. Es ist nichl klar, dass ein sol- 
ches Konzept geeignet ware, Dechiffrierschlussel in einem 
Dokumentrevisionssysiem mit einem dauerhaften Doku- 
mentarchiv sicher zwischen Kommunikationspartnern zu 

25 ubertragen. 

In konventionellen Systemen, in denen Dokumente furei- 
nige Zeit deponiert werden und nicht chiffriert sind (Fig. 1), 
muB darauf veriraut werden, dass die dritte Parlei, die den 
Archivdiensl 104 verwallet, die Integritat des Dokuments 

30 bewahrt. 

Das Dokumentarchivsystem in der bevorzugten Ausfuh- 
rungsform der vorliegenden Erfindung ist mit dem Produkt 
IBM Vault Registry erstellt, das Gegenstand der US-Patent- 
anmeldung Nr. 980,022 nul dem Tilel "Secure Server and 

35 Method of Operation for a Distributed Information System", 
eingereicbt am 26. November 1977 und der IBM Corpora- 
lion ubertragen, ist. U. S. Die Patenlschrift Nr. 980,022 ist 
hiermil durch Bezugnahme Teil des vorliegenden Doku- 
ments. Das Produkt IBM Vault Registry bieiet eine erwei- 

40 terte Webserver-Umgebung, die eine sichere Erweiterung, 
einen sogenannten Tresor, der K lien ten umgebung imple- 
menlierf . Dieses System vertraut auf die im Hintergrund der 
Erfindung beschriebene modeme Ubertragungstechnologie, 
dass die eleklronische Ubertragung von Dokumenten und 

45 anderen Daten intakt und fehlerfrei ankommt. Ressourcen in 
einem Clienl-Tresor sind nur verfugbar, wenn der Zugriff 
vom Client mil einer slarken Autheniifizierung mil Hilfe 
von zertifizierten offenllichen Schl Ossein erfolgt. Abbangig 
von der Umgebung kann der Zugriff uber den Web-Browser 

50 des Client erfolgen. 

Der Informal ionsgehalt des Tresors ist aus Griinden der 
Vertraulichkeit chiffriert. Jeder Tresor auf einem Server be- 
sitzi einen eindeutigen Chiffrierschlussel und Mechanis- 
men, die den Zugriff auf die Schlussel verhindern, sofern er 

55 nichl iiber den vom Eigner des Tresors genehmigten vertrau- 
' enswurdigen Pfad, z. B. einen Browser, erfolgt. Programme, 
die in einem Tresor laufen, sind durch Belricbssyslemdicn- 
sie isoliert, um folgendes zu gewahrleisten: 

60 a) dass sie in einem ProzeB mil einer Systemidenliiat 
(einem virtuellen Logon) laufen, so dass die Idenlitat 
abhangigen Prozessen zur Verfugung steht, ohne dass 
eine Anderung durch ein im Tresor laufendes Pro- 
gramm moglich ist; 

65 b) dass sie auf den Dateninhalt des Tresors, in dem sie 
laufen, zugreifen konnen - aber auf keinen anderen; 
c) dass sie vom Eigner des Tresors fur die Ausfiihrung 
im Tresor genehmigl werden; und 
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d) dass sie signiert sind, urn ManipuJationen und An- dungsserver 210 zugeieilt ist, und ein Tresor-Uberwa- 

griffe durch sog. Trojanische Pferde" zu verhindern. chungsprogramm 222. 

Ein Benulzerlresor 216 oder 21 8 isl nur fur den Benulzer 

Programme, die in einem Tresor laufen, konnen In form a- (Dokumeniurheber 200 oder Geschaftspartner 206) zugang- 

lionen in dem gleichen Tresor oder in anderen Tresoren, die 5 lich, dem der Tresor zugeordnei isl, und nur nach ordnungs- 

gegenseilig sicheren ZugrifT ihre ofTcnilichen Schlussel ha- gemaBer Authenlifikation. Die einzelnen Tresore haben kei- 

ben, deponiert werden. Normaierweise befinden sich diese nen direkten ZugrifF auf die Dokumentdatenbank 212; der 

Tresore auf dem gleichen Tresorserver, sie konnen aber auch ZugrifT erfoigt iiber den AS-Tresor 220 und den Anwen- 

auf verschiedenen Tresorservem mil ZugrifT auf eine ge- dungsserver 210. 

meinsame Zerlifizierungsstelle liegen, die die Information 10 Die Anwendungsserver-Komponenie 210 lauft nichl auf 

zum offentlichen Schliissel liefert. 1m Zusammenhang mil einer vertrauenswiirdigen Compulerbasis, sondem kann auf 

einem Jresorarchiv kann "deponieren" verschiedenes be- jeder beliebigen Platlform ausgefuhrt werden. Der Anwen- 

deuten. In einer Implementierung kann "deponieren" die dungsserver besilzt eine Gegenkomponenle, die im AS-Tre- 

ChifTrierung der Daten im Chiffrierschlussel des Ziellresors sor 220, der ihm im Tresorserver 214 zugeieilt ist, lauft. Der 

und die Signierung der Daten im Signierschlussel des depo- 15 AS -Tresor 220 kann mil dem Anwendungsserver 210 kom- 

nierenden Tresors bedeuten. Tresorprogramme konnen nicht munizieren und hat iiber den Anwendungsserver ZugrifT auf 

direkl auf Chiffrier- oder Signierschlussel zugreifen. Dies die Dokumentdatenbank 212. 

geschieht iiber eine API. Optional kann die "Deponierungs"- Fig. 3 ist ein FluBdiagramm des Dokumenlerstellungs- 

Funktion Informationen in eine Warteschlange im Zieltresor prozesses gemaB der bevorzugten Ausfuhrungsform der Er- 

schreiben. Eine andere Option bietel einen "Deponierungs- 20 findung. In der Umgebung von IBM Vault Registry ist ein 

beweis", der bestaligt, dass die Information deponiert personlicher Tresor im Prinzip eine sichere Erweiterung der 

wurde, und dass ein Programm im Zieltresor die Daten ge- Umgebung des Tresoreigners. Die Interaktion zwischen den 

offhet hat. All diese "Deponierungs"-Funktionen bieten ein ProzeBschritlen in Fig. 3 ist deshalb zwischen den Tresoren 

Mine], urn Informal ionen so zwischen Tresoren auszulau- des Dokumenturhebers und des Anwendungsservers darge- 

schen,dass: 25 stellt. 

Wenn ein Dokument in dem Datenarchiv erstellt wird, 

a) ihr UrsprungsprpzeB nicht geleugnet werden kann; wird es zuerst vom Arbeilsplatz des Benutzers, der es er- 

b) ihr Inhalt nicht von denen, die die InterprozeBkom- stellt hat oder sein Urheber isl, in den personlichen Tresor 
munikationspuffer inspizieren, eingesehen werden des Benutzers (Dokumenturhebers) gesendet (Block 300), 
kann; und 30 wo das Dokument mit dem privaten Signierschlussel des 

c) die Zustellung gewahrleistet ist. Benutzertresors "signiert" wird (Block 302). 

Mit einer elektronischen Signatur eines Datenelementes 

Wenn eine Anwendung keine Daten in die Warteschlange garantiert der Signierende die Integritat des Datenelemen- 

des Ziellresors slellen will, kann sie sich dafur entscheiden, tes. Eine Signatur kann berechnel werden, indem zuerst ein 

die Information in einer Datei oder Datenbank zu speichem 35 Digest des Datenelementes berechnel wird. Das Digest ist 

oder andere Systemdienste zu benulzen, die die Daten als eine relativ k lei neStruktur (z. B. 128 Bit fur eine MD2- oder 

"undurchsichtiges" Element behandeln konnen (z. B. Seria- MD5-Zusammenfassung) mit bestimmien Eigenschaften, 

lisierung fur die Fortdauer des Objekts). Diese undurchsich- urn die Sicherheit zu gewahrleisten. Erstens ist sie eine Ein- 

tige Information kann mit Standardverfahren zum Zweck wegfunktion, d. h. aus einem Digest kann das Originaldoku- 

der Sicherung und Wiederherstellung verwaltel werden. Ihr 40 ment, aus dem es hervorgegangen ist, nicht reproduziert 

Inhalt kann jedoch nur von einem im Kontext des Eignertre- werden. AuBerdem ist es unmoglich (oder computertech- 

sors laufenden Programm mit Hilfe der Sicherverwahrungs- nisch nicht machbar), zu einem Digest ein zweites \fcr-Bild 

Anwendungsprogrammschnittstelle dechifTriert werden. zu finden, das das gleiche Digest hat. Femer ist das Digest 

Mit dem Produkt IBM Vault Registry wurde die bevorzugte auch kollisionsresistent. Das heiBt, es ist auBerst unwahr- 

Ausfuhrungsform der Erfindung entwickelt wie in Fig. 2 45 scheinlich, dass zwei verschiedene Vor-Bilder das gleiche 

schematisch dargeslellt. Digest erzeugen. 

Wie in dem System aus Fig. 1 kann auch in dem in Fig. 2 Das Digest des Datenelementes wird dann mit dem priva- 

dargeslellten Konzept ein Dokumeniurheber 200 Doku- ten Signierschlussel der Benutzertresoranwendung chiffrier! 

menle iiber seine Verbindung 202 zu einem Dokumentar- (Block 304). In der bevorzugten Ausfuhrungsform wird so- 

chivdienst 204 Dokumente deponieren und als Eigner der 50 wohl ein symmetrisches als auch ein asymroelrisches Kryp- 

deponierten Dokumente dritten Parteien 206, z. B. Ge- toghraphieverfahren mit offentlichem Schliissel benutzt. 

schaftspartnern, die iiber ihre eigcnen Netzwerkverbindun- Bei der Kryplographie mil often tlichem Schlussel besilzt 

gen 208 auf die Dokumente im Dokumentarchivdienst 204 eine Anwendung zwei Schlussel, einen offentlichen und ei- 

zugreifen konnen, Zugriffsrechte auf die Dokumente zuord- nen privaten, die als Schlussel paar bezeichnet werden. Der 

nen. Anders als bei dem oben beschriebenen System sind 55 private Schlussel wird von der Anwendung lokal gespei- 

die Benulzer des Dokument arch ivsy stems aber nicht ge- chert und wird weiter unten ausfuhrlicher beschrieben. Der 

zwungen, darauf zu vertrauen, dass die dritte Partei die Inte- offenlliche Schlussel isl fur alle Benulzer zuganglich, in der 

gritat der im Archiv hinterlegten Dokumente bewahn. Regel iiber einen Verzeichnisdienst, z. B. X500. Die Vertei- 

Das Dokumentarchivsystem 204 in der bevorzugten Aus- lung offentlicher Schlussel ist in Fachkreisen bekannt und 

fuhrungsform besteht aus zwei Komponenten, einem An- 60 wird in der vorliegenden Spezifikaiion nichl weiler erlautert. 

wendungsserver 210 und einem Tresor-Coniroller 214. Der Wenn eine Kryplographie mit offentlichem Schliissc } 

Anwendungsserver (AS) isl ein Programm zur Verwallung verwendet wird, kann ein mit dem dffenllichen Schlussel 

des Datenbank archivs 212 ? das sich auf dem gleichen Sy- chiffriertes Daienelement nur mit dem zugehorigen privaien 

stem oder auf einem fernen System in einem abgeschlosse- Schlussel dechiffrierl werden. Entsprechend kann ein mit 

nen Netzwerk behndet. Der Tresor- Con trailer 214 enlhalt 65 dem privaten Schlussel chiffriertes Datenelemeni nur mil 

mehrere Komponenten: Benutzertresore 216, 218, die indi- dem offentlichen Schlussel dechiffrierl werden. 

viduell den Dokumenturhebem 200 und Geschaftspartnem In einer Technologie mit symmetrischem Schliissel wird 

206 zugeteiil sind, einen AS-Tresor 220, der dem Anwen- fur Chiffriemng und Dechiffrierung derselbe Schlussel ver- 
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wendel. In der derzeitigen Praxis erfolgen ChiffrierungADe- 
chiffrierung und Schlusselgenerierung bei der Technologie 
mit symmetrischem Schlussel wesenllich schneUer als bei 
der asymmeirischen Technologie mil offenllichem Schlus- 
sel. 

Daten werden normalerweise mit einem nach dem Zu- 
fallsprinzip generierten symmetrischen Schlussel chiffriert. 
Dann wird der symmetrische Schlussel selber mit dem of- 
fentlichen ChifFrierschlussel des Benutzers chiffriert und 
mil dem Dokument gespeichert, so dass er Teil des Doku- 
menls wird. 

In Fig. 3 wird das chiffrierte Dokument und die elektroni- 
sche Signatur zum Zweck der Aufbewahrung an den Tresor 
des Anwendungsservers gesendet (Block 306). Nach Emp- 
fang des chiffrierten Dokumenls (Block 308) beglaubigt die 
im Tresor des Anwendungsservers laufende Anwendung die 
Signatur (Block 310), indem sie mit ihrem eigenen privaten 
Signierschliissel noch einmal signiert. 

Die Beglaubigung einer Signatur in einem elektronischen 
Kontexl bedeulel, dass eine dritle Partei, die als "Notar" fun- 
giert, den Inhalt einer Signatur zertifiziert. (Die BegrifTe 
"Notar" und "beglaubigen" haben in dieser Spezifikation 
nichl den vollen Bedeutungsumfang aller Pflichten die ei- 
nem Notarial von einer Regierungsbehorde iibertragen wer- 
den.) Allgemein erfolgt eine elektronische Beglaubigung ei- 
ner Signatur als zusatzliche VorsichtsmaBnahme, urn eine 
spatere unberechtigte Anderung der Signatur zu verhindem. 
Im Fall der vorliegenden Erfindung verhindert die Beglaubi- 
gung einer digitalen Signatur des Benutzers. dass dieser das 
Original dokument im Dokumeniarchiv ersetzt oder andert. 
Eine Prufung der beglaubigten Signatur des Dokumenls 
wiirde jegliche Inkonsistenz ans Tageslicht bringen. 

Eine beglaubigte elektronische Signatur enthall zwei In- 
formationen, namlich die Signatur des beireffenden Daten- 
elements durch den Urheber und die Signatur der Urhebersi- 
gnatur durch den Notar. Die Signatur des Notars sollte uber 
die Urhebersignatur und den akluellen Zeitstempel berech- 
net werden. 

Die Anwendung, die im Tresor des Anwendungsservers 
lauft, signiert dann das von ihr empfangene Dokument 
(Block 312). Da die Daten, die er vom Dokumenlurheber 
empfangt, chiffriert sind, kennt der Anwendungsserver fak- 
tisch den Inhalt des Dokumenls hicht. Deshalb wird gemaB 
der Erfindung diese zweite Signatur uber das chiffrierte Do- 
kument und die beglaubigte Urhebersignatur berechnet. Die 
Signatur des Anwendungsservers stelll einen Empfangsbe- 
weis dar, der dem Dokumenlurheber (demjenigen, der das 
Dokument deponiert), beweist, dass der Archivdienst das 
Dokument empfangen hat. Die Erstellung des Dokumenls 
im Archiv kann dann spater nicht mehr vom Archivdienst 
geleugnet werden. 

Das chifTrierte Dokument, die beglaubigte Urhebersigna- 
tur und der Empfangsbeweis werden im Archiv des Anwen- 
dungsservers oder in der Anwendungsdaienbank gespei- 
chert (Block 314). Der Empfangsbeweis wird an den Tresor 
des Dokumenturhebers gesendet (Block 316). Der Tresor 
des Dokumenturhebers priifl die Richligkeii des Empfangs- 
beweises (Block 318), indem die Signatur des chiffrierten 
Dokumenls uberpruft wird. Der Tresor des Dokumenturhe- 
bers priift auch die Aktualitat des Zeitstempels in der be- 
glaubigten Signatur (Block 320). Die Toleranz fur den Zeit- 
stempel hangt von der Anwendung ab. Wenn bei einer dieser 
Priifungen ein Fehler erkannt wird, wird eine Fehlermel- 
dung an den AS-Tresor gesendet (Block 322) und im Sy- 
stem protokolliert. Wenn der Empfang korreki und aktuell 
ist, sendet die Anwendung, die im Tresor des Benutzers 
lauft, den Empfangsbeweis an den verursachenden Benulzer 
zuriick (Block 324), damit sie fur eine spaiere Referenz in 



einem lokalen Cache gespeichert wird, falls bewiesen wer- 
den muB, dass das Dokument im Archiv gespeichert worden 
ist. 

Es ist moglich, dass der Dokumenlurheber das Dokument 

5 mit einem eigenen Verfahren signieren und/oder chiffrieren 
kann, bevor er es zur Speichcrung in seinen Tresor sendet. 
Das Dokumeniarchiv beachlei den Inhalt des zu speichem- 
den Dokumenls aber nicht. Ein chiffriertes Dokument wird 
deshalb vom Tresor des Benutzers emeul signiert und chif- 

10 friert, wie jedes andere Dokument. 

Fig. 4 ist ein FluBdiagramm, in dem dargeslelll ist, welche 
Schritte gemaB der bevorzugten Ausfuhrungsform der Erfin- 
dung ausgefuhrt werden miissen, damit das Dokument von 
einem anfordemden Benutzer abgerufen werden kann, der 

15 unter einem von Dokumenlurheber verwalleten Nachweis- 
typ, der als Zugriffskontroll-Liste (ACL) bezeichnet wird, 
autorisiert worden ist. Wie in Fig. 3 sind die Verfahrens- 
schritte zwischen drei Aktoren, namlich Benutzer, Anwen- 
dungsserver und Anforderer, aufgeteilt, auf der Basis, dass 

20 deren personliche Tresore im Prinzip sichere Erweiterungen 
ihrer betreffenden Arbeitsbereiche sind. 

In Fig. 4 A stellt der Benutzer an seine Tresoranwendung 
eine Anforderung, ein Dokument aus dem Anwendungsser- 
verarchiv abzurufen (Block 400), und seine Tresoranwen- 

25 dung sendet dann ihrerseits die Dokumentabrufanforderung 
an den Anwendungsserver-Tresor (Block 402). 

Die Tresoranwendung des Anwendungsservers empfangt 
die ZugrifTsanforderung (Block 404) und ruft das chiffrierte 
Dokument und die beglaubigie Signaiur aus der Anwen- 

30 dungsdatenbank ab. 

Die Tresoranwendung des Anwendungsservers sendet 
das chiffrierte Dokument und die beglaubigte Signatur an 
den Tresor des Dokumenturhebers. Der Tresor des Anwen- 
dungsservers sendet auch die Idenlitat des anfordemden Be- 

35 nutzertresors an den Tresor des Urhebers (Block 408). 

Der Tresor des Urhebers priift, ob der anfordemde Benut- 
zer die Berechtigung zum Abrufen des Dokuments besitzi 
(Block 410). In der bevorzugten Ausfuhrungsform wird die 
Dokumentzugriffskonlrolle durch ZugriffskonlroU-Listen 

40 aktiviert, mit denen der Zugriff auf das Dokument auf auto- 
risierte Stellen beschrankt wird. Eine Zugriffskonlroll-Liste 
(ACL) ist einem Dokument zugeordnet und wird im Tresor 
des Dokumenturhebers gespeichert und verwaltel wie weiter 
unten im Zusammenhang mil Fig. 5A und Fig. 6 beschrie- 

45 ben. Die ACL muB gepruft werden, wenn ein Benutzer eine 
Dokumentabrufanforderung sendet. Ein anfordemder Be- 
nulzer erhall nur eine Kopie des Dokuments, wenn er das 
Zugriffsrecht besilzt. 

In der bevorzugten Ausfuhrungsform der Erfindung kon- 

50 nen Fahigkeitsbsten benutzt werden, damit anfordemde Be- 
nutzer ihr Zugriffsrecht auf Dokumente im voraus verifizie- 
ren konnen. In einer Fahigkehsliste sind alle Dokumente in 
einem Archiv aufgefuhrt, fur die ein bestimmter Benutzer 
das Zugriffsrecht besilzt. Die Fahigkeitsliste eines anfor- 

55 dernden Benutzers wird in seinem eigenen Tresor gespei- 
chert und venvaltei. Der Anfordemde braucht nur diese Li- 
sle durchzuseheh, urn fesizusiellen, auf welche Dokumente 
er zugreifen kann. Verwendung und Verwaltung der Fahig- 
keitslisten werden im Zusammenhang mit Fig. 5B ausfuhr- 

60 licher beschrieben. 

Wenn der anfordemde Benutzer keine Zugriffsberechti- 
gung auf das Dokument besilzt, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokolliert (Block 
414). 

65 In Fig. 4B wird, wenn der anfordemde Benutzer die Zu- 
griff sberechtigung fur das Dokumenl besilzt, das Dokument 
von der Tresoranwendung des Urhebers dechiffriert (Block 
416) und die beglaubigte Signatur uberpruft (Block 418). Da 
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die Originalsi gnalur des Urhebers uber den unchiffrierten 
Dokumenlinhalt berechnei wurde, konnen nur diejenigen 
Benutzer, die auf den Dokumenlinhall zugreifen konnen 
(d. h. die den privaten Schlussel des Urhebers besilzen), die 
Signatur prufen. Wenn die empfangene Signalur nichl dem 
enispricht, was der Dokumenturheber in seinen eigenen Da- 
teien stehen hal, ist klar, dass es sich nichi um dieselbe Ver- 
sion des Dokumenls handelt, die deponiert wurde, und der 
Urheber sendet eine Fehlernachricht an den Anwendungs- 
server (Block 420). 

Wenn die Signalur geprufl worden ist, sendel der Urheber 
das dechiffrierte Dokument und die beglaubigte Signalur an 
den Tresor des anfordemden Benulzers (Block 422). 

Nach Empfang des dechiffrierten Dokumenls versucht 
die Tresoranwendung des anfordemden Benulzers, die be- 
glaubigte Signalur des Urhebers zu prufen (Block 424). 
Wenn der anfordernde Benulzer sie nichl verifizieren kann, 
wird eine Fehlermeldung an den Urheber gesendet und im 
System protokolliert (Block 426). 

Wenn die beglaubigte Signalur des Urhebers verifiziert 
werden kann, signiert der Tresor des Anfordemden die mit 
dem Dokument empfangene beglaubigte Signalur. Diese Si- 
gnalur wird uber die beglaubigte Signatur und iiber den ak- 
luellen Zeitslempel berechnei und stellt einen Zustellungs- 
beweis dar (Block 428), der belegt, dass der anfordernde Be- 
nulzer das Dokument aus dem Archiv abgerufen hat. Der 
Tresor des Anfordemden sendet das dechiffrierte Dokument 
zusammen mit dem von ihm generierten Empfangsbeweis 
an den Arbeiisplatz des Anfordemden (Block 430). Der Tre- 
sor des Anfordemden sendet auch den Empfangsbeweis an 
den Anwendungsserver-Tresor (Block 432). Der Anwen- 
dungsserver verifiziert die Signatur des Anforderertresors 
auf dem Empfangsbeweis (Block 434). Wenn die Signalur 
nichl verifiziert werden kann, wird eine Fehlermeldung an 
den Urheber gesendet und im System protokolliert (Block 
436). Wenn die Signatur verifiziert werden kann, speichert 
der Anwendungsservertresor den Beweis in den Anwen- 
dungsdatenbank, falls der Anwendungsserverspater nach- 
weisen muB, dass der Anfordernde das Dokument tatsach- 
lich abgerufen hai. 

Unveranderlichkeit der Zugriffskon troll e fur den Doku- 
mentabruf 

Wie bereits erwahnt besteht in einem Datenarchiv die 
Notwendigkeit eine Dokumentzugriffskontrolle. Dies be- 
deutet, dass nur die vom Dokumenteigner auiorisierten Be- 
nulzer Einsicht in die Dokumente haben, und dass Doku- 
mentzugriffserlaubnisse nur vom Dokumenieigner (d. h. 
vom Urheber) selber und von den Personen, die vom Doku- 
menteigner die Berechiigung zum Andern.der Zugriffskon- 
troll-Liste fur das Dokumenl erhalten baben, geandert wer- 
den konnen. Es isi wichlig, dass sichergestellt ist, dass selbst 
der Archiwerwalter nichl in der Lage ist, ohne Autorisie- 
rung durch den Dokumenieigner die Zugriffsberechtigungen 
fur ein Dokument zu andern. 

Es gibl zwei verschiedene Art en von Anwendungsanfor- 
derungen fur die Unveranderlichkeit der Dokumentzugriffs- 
kontrolle. Der Dokumentzugriff muB in folgenden Fallen 
gepruft werden: 

. 1) wenn ein Benulzer eine Suche durchfuhrt, um alle 
Dokumente zu finden, fur die er die Berechiigung zum 
Belrachien hat und 

2) wenn ein Benulzer (aisachlich ein Dokument abruft. 

Alle Anwendungen miissen die Zugriffskonlrolle beim 
Dokumentabmf (ZugrifTsart 2) erzwingen. Fur diese Zu- 
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griff sari muB das Archiv garantieren, dass die Zugriffskon- 
irolle eines Dokuments nichl von einem nichl auiorisierten 
Benulzer, z. B. einem Konkurrenten, geandert werden kann. 
In einigen Anwendungen ist es aber nichl erforderlich, 

5 dass ein Benutzer nichl das Dokument abfragen kann, um 
festzustellen, welche Dokumente er belrachien darf. Dieses 
Wissen kann z. B. offline in geschaftuchen Besprechungen 
oder lelefonisch ubermittelt werden. In einem solchen Fall 
weiB der Benutzer bereils, auf welche Dokumente er zugrei- 

io fen kann, und seine Kenntnis seines eigenen Dokumentzu- 
grifTs kann nichl von Aklionen des Archivs beeinfluBl wer- 
den. 

Ein System, das die Unveranderlichkeit der Zugriffskon- 
Irolle nur beim Dokuraeniabruf, aber nichl bei der Doku- 

15 menisuche erzwingl, ist Gegensland unserer gleichzeiligen 
Anmeldung mit dem Tilel "System for Electronic Reposi- 
tory of Data Enforcing Access Control on Data Retrieval" 
(kanadische Patent anmeldung 2,256,934). Die diesem Sy- 
stem wird die Zugriffskontrollinformation in der Datenbank 

20 bzw. im Archiv des Anwendungsservers gespeichert. 

Eine sirengere Form der Unveranderlichkeit der Zugriffs- 
kontrolle, die dort verwendet werden sollie, wo Benutzer 
nicht iiber unabhangige Information uber ihren Dokument- 
zugrifT verfugen, betrifTt sowohl die Dokunienlsuche als 

25 auch den Dokumentabruf. Fur diese Forderung kann die Zu- 
griffskonlrollinformalion nicht in der Anwendungsdaten- 
bank gespeichert werden. Stall dessen wird sie im Tresor des 
Dokumenteigners gespeichert. Dieses Schema ist Gegen- 
sland der vorliegenden Erfindung und wird durch die FluB- 

30 diagramme in Fig. 5 und Fig. 6 illustriert und weiier unten 
beschrieben. 

In der vorliegenden Ausfiihrungsform ist jedem Doku- 
menl eine ZugrifTskontroll-Liste (ACL) zugeordnet, die die 
DokumenlzugrifTsberechtigung verschiedener Benulzer 

35 fesllegt. AuBerdem besitzt jeder Benutzer im System eine 
Fahigkeitsliste, in der alle gespeicherten Dokumente, von 
denen der Benutzer nicht der Eigner ist, auf die er aber zu- 
greifen kann, identifiziert werden. 

Um die Unveranderlichkeit zu garantieren, wird jede 

40 ACL im Tresor des Dokumenturhebers verarbeitel, wie in 
Fig. 5 A dargestellt, und parallel dazu wird jede Fahigkeits- 
liste im entsprechenden Benutzertresor verarbeitet wie in 
Fig. 5B dargestellt. 

In Fig. 5A stellt der Tresor des Dokumenteigners nach ei- 

45 ner Aktualisierung einer ACL (Block 500) fest, welche Be- 
nulzer von der Anderung belroffen sind (Block 502), und 
eine Nachrichi, in der die Art der Zu griffs anderung (Hinzu- 
fugung, Erweiterung oder Beschrankung) angegeben wird, 
wird im Tresor jedes Benulzers deponiert, dessen Zugriffs- 

50 recht auf das Dokument geandert worden ist (Block 504V 
Jeder ACL ist eine Versionsnummer und ein Zeitslempel 
der letzten Anderung zugeordnet. Der Tresor des Doku- 
menteigners erhohl dann inkrementell die Versionsnummer 
der ACL (Block 506) und erseizt deren alien Zeiistempel 

55 durch den aktuellen Zeitslempel (Block 508). Aus der aktu- 
ellen Versionsnummer und dem Zeitslempel; die der ACL 
jetzi zugeordnet sind, wird ein Token, das die Unverander- 
lichkeit der ACL garantieren soil, erstellt und vom Tresor 
des Dokumenturhebers signiert (Block 510). Die ACL wird 

60 ebenfaJls vom Tresor des Dokumenturhebers signiert (Block 
512). 

Das ACL- Token wird dann an den Tresor jedes zum Zu- 
griff auf das Dokument berechtigten Benulzers gesendet, wo 
es zur Speicherung mit der ZugrifTsanwendung des Benul- 
65 zers auf dessen Arbeiisplatz gespeichert wird (Block 514), 
. damit eine spatere Verifizierung der ACL nidglich ist. Das 
signierte Token wird zur Speicherung an den Arbeitsplaiz 
des Dokumenturhebers gesendet (Block 516). Da derDoku- 
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menlurheber eine Kopie des signierten Tokens besitzt, wird 
er leizilich zum Arbiter dariiber, ob die Dokument-ACL ak- 
tuell isi oder nicht. 

Wenn ein Geschaftspartner ein Dokument abrufen 
mochte, sendet die AS-Tresoranwendung das chiffrierte Do- 
kument wie oben beschrieben an den Tresor des Urhebers 
(Block 408 in Fig. 4A). Um die Berechtigung des Anfor- 
dernden zu verifizieren (Block 412 in Fig. 4A), scham der 
Tresor des Dokumenturhebers einfach in der lokal gespei- 
cherten verifizierten ACL nach, ob der Anfordernde das Zu- 
griffsrechl auf das angegebene Dokument besitzl. Mil die- 
sem Verfahren kann niemand die in der Anwendungsdaien- 
bank gespeicherte ACL andem, ohne dass dies vom Tresor 
des Dokumenturhebers bemerkt wird 

Wie oben beschrieben besitzt jcder Benutzer, der Eigner 
von Dokumenten im Archiv ist, auf seinem Arbeitsplatz die 
signierten Tokens der korrekten Version jeder ACL. Die 
ACL- Versionen im Benutzertresor werden verifiziert, indem 
das auf dem Arbeitsplatz des Benutzers gespeicherte Token 
mil dem im Benutzertresor gespeicherten verglichen wird. 
Dieser Vergleich kann zu verschiedenen Zeiten ausgefuhrt 
werden; eine gute Gelegenheit zur Verifizierung der in ei- 
nem Benutzertresor gespeicherten ACLs ist das Logon, so 
dass jedesmal, wenn sich ein Benutzer beim System anmel- 
det, die ACLs verifiziert werden. 

Wenn die Verifizierung der ACL nicht gelingt, kann die 
Benutzertresoranwendung automatisch die Verarbeitung 
jeglicher Anforderung, ein von der ACL geschutztes Doku- 
ment abzurufen, einstellen. Dieser Zustand der Unverander- 
lichkeit des Dokuments wiirde weiterbestehen, bis der Be- 
nutzer enlweder eine neue ACL erstellt oder die vorhandene 
ACL neu zertifiziert. Der ProzeB der Rezertifizierung der 
vorhandenen ACL wurde die Synchroriisierung des im Be- 
nutzertresor gespeicherten ACL- Tokens nut dem auf deni 
Arbeitsplatz des Benutzers gespeicherten Token einschlie- 
Ben. 

Bei jeder Aklualisierung einer ACL werden parallel zu 
den in Fig. 5 A aufgefuhrten Schritten einige andere Schritte 
ausgefuhrt. Diese zusatzlichen Schritte sind in Fig. 5B dar- 
gestellL 

Jeder Benutzertresor ist fur die Verwaltung einer Fahig- 
keitsliste zustandig, die eine Aufiistung aller Dokumente, 
auf die der Benutzer zugreifen darf, enlhalt. Die Aklualilat 
der Fahigkeitsliste selber wird durch eine Versionsnummer 
und einen neuesten Zeitstempel identifiziert. Wenn eine 
Nachricht, die eine Anderung der Zugriffsmoglichkeit eines 
Benutzers auf ein Dokument (eine Aklualisierung einer Do- 
kument-ACL) mitteill, im Tresor des Benutzers eingeht 
(Block 520), wird die Fahigkeitsliste im Tresor des Benut- 
zers automatisch mil Versionsnummer (Block 522) und 
neuestem Zeitstempel (Block 524) aktuaJisiert. Uber die 
Versionsnummer und den Zeitstempel (Block 526) wird ein 
Token berechnet, das zur Verifizierung der Richtigkeit der 
Fahigkeitsliste verwendet werden kann. Das Token wird 
vom Tresor des Benutzers signiert (Block 528), und die Fa- 
higkeitsliste ebenfalls (Block 530). Das signierte Token und 
die signierte Fahigkeitsliste werden im Tresor des Benutzers 
gespeichert (Block 532), der Tresor des Benutzers bewahn 
aber die alte Fahigkeitsliste und ihr Token auf, da das Token 
fur die alte Fahigkeitsliste dem auf dem Arbeitsplatz des Be- 
nutzers gespeicherten Token cntsprichi, his eine Aklualisie- 
rung vorgenommen werden kann. 

Eine Moglichkeit zur Synchronisation der aktuellen Fa- 
higkeitsliste mil dem auf dem Arbeitsplatz gespeicherten 
Token des entsprechenden Benutzers besteht darin, dies au- 
tomatisch zu tun, wenn sich der Benutzer beim System an- 
meldet (Block 532). Die Richtigkeit des Tokens auf dem Ar- 
beitsplatz des Benutzers kann mil dem im Tresor des Benut- 
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zers aufbewahrten alien Token verglichen werden, und dann 
kann das aklualisierte Token an den Arbeitsplatz des Benut- 
zers gesendet werden (Block 534). Sobald das alte Token 
auf dem Arbeitsplatz des Benutzers ersetzt worden ist, kann 

5 die alte Fahigkeitslisie und ihr Token aus dem Tresor des 
Benutzers geldscht werden. 

Eine andere Alternative zur Aktualisierung des Tokens 
der Fahigkeitsliste auf dem Arbeitsplatz des Benutzers 
(nicht dargestellt) zu aktualisieren, ware, dass der Benutzer 

10 die Initative ergreifen muB, um Aktualisierungen der Fahig- 
keitsliste seit seiner letzten Anmeldung beim System festzu- 
stellen. - . 

Um die Zusammengehorigkeit von ACLs und den Fahig- 
keitslisten sicherzustellen, muB die Umgebung, auf der das 

15 System basiert (z. B. das Produkt IBM Vaull Registry) eine 
garanlierle Nachrichlenzustellung fur Nachrichten, die von 
einem Tresor in einem anderen deponiert werden, bieten. 
Die Garanlie der Zustellung einer Fahigkeitsliste kann auch 
durch die Anwendung erfolgen, indem z, B. eine Bestati- 

20 gung von dem Benutzer, der die Aklualisierung empfangt, 
gefordert wird. 

Als Resultat dieses Schemas werden ACL und Fahig- 
keitsliste von ihren Eignem gespeichert. Keine Partei im Sy- 
stem kann die Zugriffskontroll-Lisle eines Dokuments an- 

25 dem, ohne dass der Dokumenteigner dies erfahrt. AuBerdem 
kann keine Partei im System das Wissen eines Benutzers 
uber sein ZugrifTsrecht auf ein Dokument (d. h. eine Fahig- 
keit) andem, ohne dass der autorisierte Benutzer dies be- 
merkt. 

30 Im Gegensatz zu dem Zugriffskonirollschema, das in un- 
serer oben genannlen, gleichzeiug anhangigen Anmeldung 
beschrieben wird, wo die Suche im Tresor des Anwendungs- 
servers stall findel, erfolgt in der vorbegenden Erfindung die 
Suche nach Dokumenten, fur die ein Benutzer die Zugriffs- 

35 berechtigung besitzt, in der Tresoranwendung des Benutzers 
selber. 

Zuordnung von Eignerzugriffsrechten 

40 In manchen Umgebungen muB der Dokumenteigner die 
Moglichkeit haben, einer anderen Person die Erlaubnis zum 
Andern der Zugriffsliste des Dokuments zu erteilen. Zum 
Beispiel wenn der Eigner nicht da ist, kann ein anderer auto- 
risierter Benutzer in der Lage sein, die Zugriffskontrolle fur 
45 das bestimmte Dokument zu aktualisieren. 

In einer bevorzugten Ausluhrungsform der Erfindung 
kann die Aklualisierung von ACLs oder Fahigkeitslisten 
von anderen Benutzem im System durchgefiihrt werden, in- 
dem die in Fig. 6 dargesteilten Schritte ausgefuhrt werden. 
50 Zum Beispiel wenn eine Aktualisierung der ACL ver- 
suchl wird, muB der Benutzer, der die Aktualisierung vor- 
nimmt, in der Lage sein, das aktuelle signierte Token fur die 
ACL vorzulegen (Block 600). Das signierte Token wird zum 
Tresor des Benutzers gesendet (Block 602), der das signierte 
55 Token an den Tresor des Urhebers ubergibt (Block 604). 
Wenn dem aktualisierenden Benutzer in der ACL dieses Do- 
kuments keine EignerzugrirTsrecbte zugewiesen worden 
sind, dann erkennt der Tresor des Dokumenteigners dies, 
und er verweigert die Aktualisierung und sendet eine Feh- 
60 lenneldung an den Tresor des Benutzers (Blocke 606 und 
608). 

Wenn der Tresor des Urhebers das ZugrifTsrecht des si- 
gnierenden Benutzers auf das Dokument verifizieren kann, 
und wenn feslgestellt wird, dass die Versionsnummer und 
65 der Zeitstempel des ACL-Tokens aktuelJ sind (Block 606), 
wird die ACL aktualisiert (Block 610), und ein neues Token 
wird generiert und signiert (Block 612) und im Tresor des 
Urhebers gespeichert (Block 714). Das neu signierte Token 
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wird an den Treses- des Dokumenturhebers gesendet (Block 
616). Der Tresor des Aktualisierenden sendei das neue To- 
ken zur Speicherung an dessen Arbeitsplatz zuruck (Block 
618). Das neu signierte Token kann optional auch zur Spei- 
cherung im Archiv an den Tresor des Anwendungsservers 5 
gesendei werden (Block 620). 

Dieses Verfahren verlangt, dass zu jedem Zeitpunkt nur 
eine einzige Person eine ACL-Aktualisierung durchfuhrt. 
Wenn zum Beispiel ein Dokumenteigner John Urlaub 
nimmt, kann er einer Mitarbeiterin Mary erlauben, die ACL to 
seines Dokuinents in seiner Abwesenheit zu aktualisieren, 
indem er Mary sein aktuelles Token fur die ACL des Doku- 
menls gibi. Mary fuhrt dann eine ACL-Aktualisierung 
durch, indem sie das Token durch ihren Tresor John's Tresor 
vorlegt. Mary empfangt das neu signierte Token fur die ACL 15 
und gibt es John bei seiner Ruckkehr wieder zuruck. Nach 
der Installation des neuen Tokens kann John selber eine 
ACL-Aktualisierung vomehmen. 

Datensicherung und -wiederherstellung 20 

Gelegentlich kann es notwendig sein, dass der Verwalter 
des Dokumentarchivs die Dokumentdatenbank aus einem 
vorherigen Backup wiederherstellt. Dies kann beispiels- 
weise bei einem katastrophalen Datenbankfehler, z. B. bei 25 
einem Festplattendefekt, der Fall sein. 

Die zu sichemden Daten sind die Dokumente selber, die 
ACLs (entweder in der Anwenderdatenbank oder in den 
Eignertresoren gespeichert), die Fahigkeitenlislen (fur die 
Systeme, in denen sie implemenuert sind, wie oben be- 30 
schrieben), und die Verifikationstokens von ACLs und Fa- 
higkeits listen. 

Nach einer Riickspeicherung der Daten konnen Aktualie- 
rungen, die nach der letzten Sicherung vorgenommen wur- 
den, verloren gegangen sein. Fiir die Zwecke der vorliegen- 35 
den Erfindung konnte es sich dabei auch um ACL- und Fa- 
higkeitslisten-Aktualisierungen handeln. Wenn dies ge- 
schieht, stimmen die auf den Benulzerarbeitsplatzen gespei- 
cherlen Verifizierungstokens moglicherweise nicht mehr mil 
den Tokens in den entsprechenden Tresoren uberein, so dass 40 
die Benutzer keinen ZugrifT mehr haben. Deshalb wurde als 
Standard fiir die Datenwiederherstellung in verschiedenen 
Situationen das folgende System implementierl. Es wird an- 
genommen, dass die Sicherung zum Zeitpunkt ZETT1 er- 
folgte, und die Riickspeicherung zu einem spateren Zeit- 45 
punkt ZEIT2. Wenn eine vollstandige Ruckspeicherung der 
Dokumentdatenbank, der ACLs, der Fahigkeitslisten und 
der entsprechenden in den Tresoren gespeicherten Tokens 
durchgefubrt wird, konnen die Benutzer, die vor ZHTl auf 
ein Dokument zugreifen konnten, dies auch nach ZETT2 tun. 50 
Dies bedeutet, dass wenn ein Benutzer vor ZEIT1 berechtigt 
war, die Berechligung aber zwischen ZEJT1 und ZEIT2 wi- 
derrufen wurde, dieser Benutzer dennoch auf das Dokument 
zugreifen kann, bis der Eigner des Dokuments das ACL-To- 
ken priift. Nach einer vollstandigen Dalenruckspeicherung 55 
sollten deshalb alle Benutzer eine Priifung der ACL und der 
Fahigkeiisliste durchfuhren. 

Wenn nur die Dokumentdatenbank zuruckgespeichert 
wurde und die ACLs, die Fahigkeitslisten und die in den 
Tresoren gespeicherten Tokens unberiihrl geblieben sind, 60 
konnen Benutzer feststellen, dass sie das Zugriffsrecht fur 
ein Dokument besitzen, das gar nicht in der Daienbank ge- 
speichert ist, da das Dokument nach ZETTl hinzugefugl 
wurde, aber nachher bei der Ruckspeicherung der Daien- 
bank verloren gegangen ist. Da alle Tokens aktuell sind, gibt 65 
es keine weileren Anomalien. 

Ein anderer Fall liegt vor, wenn in einem System keine 
Fahigkeitslisten benutzt werden, die ACLs aber in der An- 
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wendungsdatenbank gespeichert werden. Wenn die Doku- 
mentdatenbank und die ACL zuruckgespeichert worden 
sind, wahrend die in den Tresoren gespeicherten Tokens 
nicht zuruckgespeichert wurden, stellen die Benutzer fest, 
dass alle Dokumente, deren ACL nach ZE1T1 geanden wur- 
den, nicht mehr zuganglich sind. Dies kommt daher, dass die 
ACL-Tokens in der Anwendungsdatenbank nicht mit den in 
den Tresoren der einzelnen Eigner gespeicherten Tokens 
ubereinstimmen. Um dieses Problem zu losen, miissen alle 
Dokumenteigner die ACLs aktualisieren. Eine Mogbchkeit 
dazu ist, dass der Verwalter die alten ACLs (die zu ZETTl in 
Kraft waren), den Dokumenteignem sendet und sie bittet, 
die entsprechenden Tokens in ihren Tresoren neu zu instal- 
lieren. Diese Aktualisierung wird manuel), nicht automa- 
u'sch, vorgenommen, und die Dokumente eines Eigners sind 
unzuganglich, bis er die Aktualisierung durchgefuhrt hat. 

In Situationen, in denen Datenbankinkonsistenzen ver- 
mieden werden miissen, kann der Archivverwalter nach ei- 
ner Ruckspeicherung den ZugrifT auf alle Dokumente sper- 
ren, bis der Urheber FehlerbehebungsmaBnahmen ergrifTen 
hat. Diese Sperre kann fur alle Dokumente im Archiv gelten 
oder nur fur einen Teil der Dokumente, bei denen die Konsi- 
stenz am kritischsten ist. In diesem Fall muB man sich auf 
den Archivverwalter verlassen, um die Konsistenz des Sy- 
stems zu wahren. Wie bereits erwahnt hat der Verwalter aber 
in keinem Fall die Moglichkeit, Benuizerzugriffsrechte auf 
ein Dokument zu erteilen oder'zu widerrufen. 

In der obigen Beschreibung wurden bevorzugle Ausfuh- 
rungsformen der vorliegenden Erfindung miltels des Pro- 
dukts IBM Vault Registry beschrieben. Dem Fachmann ist 
aber klar, dass die vorliegende Erfindung auch mit anderen 
Produkten, die uber ahnliche Funktionen verfugen, imple- 
mentiert werden konnte, z. B. mit sicheren tresorahnlichcn 
Umgebungen, die sich lokal auf dem Arbeitsplatz der ein- 
zelnen Benutzer befinden. Solche und andere Abwandlun- 
gen, die fur den Fachmann offensichtbeh sind, sollen eben- 
falls unter den Schulzumfang der beigefugten Anspriiche 
fallen. 

Patentanspriiche 

I. Ein sicheres System zum Suchen von elektroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 
eine Kommunikationsumgebung mit 

(i) einem ersten Agentenprogramm fiir einen 
Computer, der eine eleklronische Dalendatei im 
Datenarchivsystem deponiert, und 

(ii) einem zweiten Agentenprogramm fur einen 
ersten Benutzercomputer mil ZugrifTsrechl auf die 
elektronische Datendalei; 

einer Nach weisliste fiir die elektronische Datendalei, in 
der Zugriffskontrollen fiir die elektronische Dalendatei 
aufgefuhrt sind, wobei die Nachweisliste fur das erste 
Agentenprogramm zuganglich ist und von diesem ver- 
wallet wird; 

eine erste Aufzeichnung der Zugriffsrechte des erslen 
Benutzercomputers auf die elektronische Datendatei, 
wobei die erste Aufzeichnung fur das zweile Agenten- 
programm zuganglich ist und von diesem verwallet 
wird; 

Mittel, um Anderungen an der Nachweisliste, die die 
ZugrifTsrechie des ersten Benutzercomputers auf die 
eleklronische Datendalei belreffen, vom ersten Agen- 
tenprogramm an das zweile Agentenprogramm zu sen- 
den, um die ersie Aufzeichnung zu aklualisieren; und 
Mittel, mit denen das erste Agentenprogramm die Zu- 
griffsrechte des ersten Benutzercomputers auf die elek- 
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ironische Daiendatei prufen kann, bcvor die elektroni- 
sche Daiendatei fur das zweite Agentenprogramm frei- 
gegeben wird. 

2. Das sichere System nach Anspruch 1, wobei das er- 
ste Agentenprogramm eine sichere Erweiterung des de- 5 
ponierenden Computers und das zweite Agentenpro- 
gramm eine sichere Erweiterung des ersten Benutzer- 
computers ist. 

3. Das sichere System nach Anspruch 2, das auBerdem 
Mittel besitzt, um die Anderungen der Nachweisliste, 10 
die die ZugrifTsrechte des ersten Benutzercomputers 
auf die eleklronische Datendatei betreffen, vom zwei- 
ten Agentenprogramm an den ersten Benutzercompu- 
ler zu senden. 

4. Das sichere System nach Anspruch 1 oder 2, das au- 15 
Berdem folgendes umfafil: 

ein drittes Agentenprogramm fur einen zweiten Benul- 
zercomputer mil Zugriffsrecht auf die eleklronische 
Datendatei; und 

eine zweite Aufzeichnung der ZugrifTsrechte des zwei- 20 
ten Benutzercomputers auf die eleklronische Datenda- 
tei, wobei die Aufzeichnung fur das dritte Agentenpro- 
gramm zuganglich ist und von diesem verwaltet wird, 
und wobei das Mittel um die Anderungen an der Nach- 
weisliste, die die Zugriffsrechte des ersten Benutzer- 25 
computers auf die eleklronische Daiendatei betreffen, 
zur Aktualisierung der ersten Aufzeichnung an das 
zweite Agentenprogramm zu ubertragen, Mittel um- 
faBl, um Anderungen an der Nachweisliste, die die Zu- 
grifTsrechte des zweilen Benutzercomputers auf die 30 
eleklronische Datendatei betreffen, zum Aktualisieren 
der zweiten Aufzeichnung vom ersten Agentenpro- 
gramm an das driite Agentenprogramm zu ubertragen; 
und 

wobei das Mittel, mil dem das erste Agentenprogramm 35 
die ZugrifTsrechte des ersten Benutzercomputers auf 
die eleklronische Datendatei verifiziert, bevor die elek- 
lronische Datendatei fur das zweite Agentenprogramm 
freigegeben wird, ein Mittel umfaBt, mit dem das erste 
Agentenprogramm die ZugrifTsrechte des zweiten Be- 40 
nutzercomputers auf die elektronische Datendatei veri- 
fiziert, bevor die elektronische Datendatei fur das dritte 
Agentenprogramm freigegeben wird. 

5. Das sichere System nach Anspruch 4, wobei das 
dritle Agentenprogramm eine sichere Erweiterung des 45 
zweiten Benutzercomputers ist. 

6. Das sichere System nach Anspruch 5, das auBerdem 
Mittel besitzt, um die Anderungen der Nachweisliste, 
die die Zugriffsrechte des zweiten Benutzercomputers 
auf die elektronische Datendatei betreffen, vom dritten 50 
Agentenprogramm an den zweiten Benutzercomputer 

zu senden. 

7. Das sichere System nach Anspruch 2 oder 5, wobei 
die Kommunikauonsumgebung einen Server umfaBt. 

8. Das sichere Sysiem nach Anspruch 1, 2 oder 5, das 55 
auBerdem in der Kommunikauonsumgebung eine 
Schniltstelle zmii Daienarchivsyslem umfaBt, die daran 
angepaBt ist, alle Ubertragungen zwischen dem Daten- 
archivsyslem und dem Agentenprogramm zu empfan- 
gen. 60 

9. Das sichere System nach Anspruch 8, wobei die 
Schniltstelle eine sichere Erweiterung des Datenar- 
chivsystems ist. 

10. Ein Verfahren fur die Verwallung eines sicheren 
eleklronischen Datensuchsystems fur ein elekironi- 65 
sches Datenarchiv, wobei das System eine Nachweisli- 
ste, in der ZugrifTsrechte auf die elektronische Daten- 
datei im Daienarchiv aufgefuhrt sind, und eine Auf- 



zeichnung, in der DokumentzugrifTsrechte fur jeden 
Computer mil Zu griff auf die im Archiv gespeicherten 
eleklronischen Daten aufgefuhrt sind, besitzt, wobei 
das Verfahren folgende Schritte umfaBt: 
Aktualisieren einer Nachweisliste fur eine im Archiv 
gespeicherte elektronische Datendatei; 
Identifizieren aller Computer, deren Zugriffsrecht auf 
die elektronische Datendatei von der Aktualisierung 
betroffen ist; 

Ubertragen der Zugriffsanderung an alle betroffenen 
Computer; 

Aktualisieren der Zugriffsrechtaufzeichnungen aller 
betroffenen Computer; und 

Ubertragen der aktualisierten Zugriffsrechtaufzeich- 
nungen an die betroffenen Computer. 

11. Ein sicheres System zum Suchen von eleklroni- 
schen Datendateien, die in einem Datenarchivsystem 
gespeichert sind, umfassend: 

Mittel zum Verwalten eine Nachweisliste, in der Zu- 
griffskonlrollen fur jede im Datenarchivsystem gespei- 
cherte elektronische Datei aufgefuhrt sind; 
Mittel zum Beschranken des Zugriffs auf jede Nach- 
weisliste auf einen Computer mit Deponierungsberech- 
tigung; 

Mittel zum Verwalten einer Aufzeichnung, in der die 
Zugriffsrechte auf die eleklronische Datendatei fur je- 
den Computer mit Zugriffsrecht auf mindestens eine 
elektronische Datendatei im Datenarchivsystem aufge- 
fuhrt sind; 

Mittel, um den Zugriff auf die Aufzeichnung auf den 
zugehorigen Computer mit Zugriffsrechten zu be- 
schranken; und 

Mittel zum Aktualisieren der Aufzeichnung fur jeden 
Computer, der von einer Zugriffsanderung in einer 
Nachweisliste betroffen ist. 

1 2. Ein compulerlesbarer Speicher zum Speichem der 
Inslruktionen zur Verwendung bei der Ausfuhrung des 
Verfahrens nach Anspruch 10 auf einem Computer. 
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